Настройка защиты с помощью проверки подлинности сертификата

 

Применимо к:System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

DPM можно развернуть для защиты компьютеров в рабочих группах и недоверенных доменах. Для обработки проверки подлинности можно использовать NTLM или сертификаты. В этом разделе описано, как настроить защиту с помощью проверки подлинности сертификата.

Перед началом работы

  • На каждом компьютере, который нужно защитить, необходимо установить .NET Framework 3.5 с пакетом обновления 1 (SP1) или более позднюю версию.

  • Сертификат, используемый для проверки подлинности, должен соответствовать следующим условиям.

    • Сертификат X.509 V3

    • В свойство расширенного использования ключа (EKU) должна входить проверка подлинности клиента и сервера.

    • Длина ключа должна составлять как минимум 1024 бит.

    • Тип ключа должен быть exchange.

    • Имя субъекта обычного и корневого сертификатов не должно быть пустым.

    • Серверы отзыва связанных центров сертификации должны быть доступны как для защищенного сервера, так и для сервера DPM.

    • Сертификаты должны иметь связанный закрытый ключ.

    • DPM не поддерживает сертификаты с ключами CNG.

    • DPM не поддерживает самозаверяющие сертификаты.

  • Каждый компьютер, который требуется защитить (включая виртуальные машины), должен иметь свой собственный сертификат.

Настройка защиты

  1. Создание шаблона сертификата DPM

  2. Настройка сертификата на сервере DPM.

  3. Установка агента

  4. Настройка сертификата на защищенном компьютере

  5. Присоединение компьютера

Создание шаблона сертификата DPM

При необходимости можно настроить шаблон DPM для веб-регистрации. Для этого выберите шаблон, предназначенный для проверки подлинности клиента и сервера. Пример.

  1. В оснастке MMC Шаблоны сертификатов можно выбрать шаблон RAS- и IAS-сервер. Щелкните его правой кнопкой мыши и выберите Скопировать шаблон.

  2. В окне Копирование шаблона оставьте параметр по умолчанию Windows Server 2003 Enterprise.

  3. На вкладке Общие измените отображаемое имя шаблона на распознаваемое. Например, Проверка подлинности DPM. Убедитесь, что параметр Опубликовать сертификат в Active Directory включен.

  4. Убедитесь, что на вкладке Обработка запроса что установлен флажок Разрешить экспортировать закрытый ключ.

  5. После создания шаблона предоставьте его для использования. Откройте оснастку «Центр сертификации». Щелкните правой кнопкой мыши элемент Шаблоны сертификатов, выберите пункты Создать и Выдаваемый шаблон сертификата. В окне Включение шаблона сертификата выберите шаблон и нажмите кнопку ОК. Теперь шаблон будет доступен при получении сертификата.

Включение ручной и автоматической регистрации

Если вы хотите дополнительно настроить шаблон для ручной или автоматической регистрации, перейдите на вкладку "Имя субъекта" в свойствах шаблона. При настройке регистрации шаблон можно выбрать в MMC. При настройке автоматической регистрации сертификат автоматически назначается для всех компьютеров в домене.

  • Для регистрации на вкладке Имя субъекта свойств шаблона установите флажок Выбрать сборку на основе данных Active Directory. В окне Формат имени субъекта выберите Общее имя и установите флажок DNS-имя. Перейдите на вкладку "Безопасность" и назначьте разрешение Регистрация пользователям, прошедшим проверку подлинности.

  • Для автоматической регистрации перейдите на вкладку Безопасность и назначьте разрешение Автоматическая регистрация пользователям, прошедшим проверку подлинности. Если этот параметр включен, сертификат будет автоматически назначен всем компьютерам в домене.

  • Если регистрация настроена, вы сможете запросить новый сертификат в MMC на основе шаблона. Для этого на защищенном компьютере, в разделе Сертификаты (локальный компьютер) > Личное, щелкните правой кнопкой мыши Сертификаты. Выберите Все задачи > Запросить новый сертификат. На странице Выбор политики регистрации сертификатов мастера щелкните Политика регистрации Active Directory. В окне Запрос сертификатов появится шаблон. Разверните Сведения и нажмите кнопку Свойства. Откройте вкладку Общие и введите понятное имя. После применения параметров должно появиться сообщение, что сертификат успешно установлен.

Настройка сертификата на сервере DPM

  1. Создайте сертификат из ЦС для сервера DPM с помощью веб-регистрации или другого метода. При веб-регистрации щелкните требуется расширенный сертификат и Создать и отправить запрос в ЦС. Убедитесь, что размер ключа — 1024 или выше и что установлен флажок Пометить ключ как экспортируемый.

  2. Сертификат помещается в хранилище пользователя. Его необходимо переместить в хранилище локального компьютера.

  3. Для этого экспортируйте сертификат из хранилища пользователя. Убедитесь, что экспорт производится с помощью закрытого ключа. Его можно экспортировать в формате PFX по умолчанию. Укажите пароль для экспорта.

  4. В папке Computer\Personal\Certificate запустите мастер импорта сертификатов, чтобы импортировать экспортированный файл из расположения, в котором он сохранен. Укажите пароль, который используется для экспорта, и убедитесь, что установлен флажок Пометить ключ как экспортируемый. На странице "Хранилище сертификатов" оставьте параметр по умолчанию Разместить все сертификаты в следующем хранилище и убедитесь, что отображается раздел Личное.

  5. После импорта установите учетные данные DPM для использования сертификата следующим образом.

    1. Получите отпечаток сертификата. В хранилище Сертификаты дважды щелкните сертификат. Откройте вкладку Сведения и прокрутите страницу вниз, к сертификату. Щелкните его, выделите и скопируйте. Вставьте отпечаток в Блокнот и удалите все пробелы.

    2. Запустите Set-DPMCredentials, чтобы настроить сервер DPM:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]
      
    • -Type — тип проверки подлинности. Значение: сертификат.

    • -Action — значение, указывающее, следует ли выполнять команду в первый раз или нужно повторно создать учетные данные. Возможные значения: regenerate или configure.

    • OutputFilePath — расположение выходного файла, который используется в Set-DPMServer на защищенном компьютере.

    • –Thumbprint — копия из файла Блокнота.

    • -AuthCAThumbprint — отпечаток ЦС в цепи доверия сертификата. Необязательный параметр. Если не указан, будет использован корень.

  6. Будет создан файл метаданных (BIN-файл), необходимый во время установки агента в недоверенном домене. Перед тем как выполнять команду, убедитесь, что папка C:\Temp существует. Обратите внимание, что, если файл потерян или удален, можно повторно создать его, запустив скрипт с параметром –action regenerate.

  7. Верните BIN-файл и скопируйте его в папку C:\Program Files\Microsoft Data Protection Manager\DPM\bin на компьютере, который требуется защитить. Это необязательно, но если этого не сделать, потребуется указать полный путь к файлу для параметра –DPMcredential во время…

  8. Повторите эти действия на каждом сервере DPM, который защитит компьютер в рабочей группе или недоверенном домене.

Установка агента

  1. На каждом компьютере, который требуется защитить, запустите файл DPMAgentInstaller_X64.exe с компакт-диска установки DPM, чтобы установить агент.

Настройка сертификата на защищенном компьютере

  1. Создайте сертификат из ЦС для защищенного компьютера с помощью веб-регистрации или другого метода. При веб-регистрации щелкните требуется расширенный сертификат и Создать и отправить запрос в ЦС. Убедитесь, что размер ключа — 1024 или выше и что установлен флажок Пометить ключ как экспортируемый.

  2. Сертификат помещается в хранилище пользователя. Его необходимо переместить в хранилище локального компьютера.

  3. Для этого экспортируйте сертификат из хранилища пользователя. Убедитесь, что экспорт производится с помощью закрытого ключа. Его можно экспортировать в формате PFX по умолчанию. Укажите пароль для экспорта.

  4. В папке Computer\Personal\Certificate запустите мастер импорта сертификатов, чтобы импортировать экспортированный файл из расположения, в котором он сохранен. Укажите пароль, который используется для экспорта, и убедитесь, что установлен флажок Пометить ключ как экспортируемый. На странице "Хранилище сертификатов" оставьте параметр по умолчанию Разместить все сертификаты в следующем хранилище и убедитесь, что отображается раздел Личное.

  5. После импорта настройте компьютер для распознавания сервера DPM как авторизованного выполнять архивацию, как показано далее.

    1. Получите отпечаток сертификата. В хранилище Сертификаты дважды щелкните сертификат. Откройте вкладку Сведения и прокрутите страницу вниз, к сертификату. Щелкните его, выделите и скопируйте. Вставьте отпечаток в Блокнот и удалите все пробелы.

    2. Перейдите в папку C:\Program files\Microsoft Data Protection anager\DPM\bin. Запустите setdpmserver следующим образом:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      Где ClientThumbprintWithNoSpaces копируется из файла Блокнота.

    3. Чтобы убедиться, что настройка успешно выполнена, необходимо получить выходные данные.

  6. Верните BIN-файл и скопируйте его на сервер DPM. Рекомендуется скопировать его в расположение по умолчанию, в котором процесс Attach будет искать этот файл (Windows\System32), чтобы при запуске команды Attach можно было указать только имя файла вместо полного пути.

Присоединение компьютера

Подключение компьютера к серверу DPM производится с помощью скрипта Attach-ProductionServerWithCertificate.ps1 PowerShell с использованием синтаксиса.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
  • -DPMServerName — имя сервера DPM

  • PSCredential — имя BIN-файла. Если он помещен в папку Windows\System32, можно указать только имя файла. Укажите BIN-файл, созданный на защищенном сервере. Если указать BIN-файл, созданный на сервере DPM, то все защищенные компьютеры, настроенные для проверки подлинности на основе сертификата, будут удалены.

После завершения процесса подключения компьютер должен появиться на консоли DPM.

Примеры

Пример 1

Создание в папке c:\CertMetaData\ файла с именем CertificateConfiguration_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”

Где dpmserver.contoso.com — имя сервера DPM, а “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496” — отпечаток сертификата сервера DPM.

Пример 2

Повторное создание файла конфигурации в папке c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate